目前,NetFlow 將(入站流量)目的地顯示為我們的外部 IP,而不是內部 IP。此外,對於所有出站流量,它顯示來源是我們的防火牆而不是工作站。關於如何找到這些的真正來源/目的地有什麼想法嗎?
答案1
我認為您的設定與此有些類似:
LAN - FW - 路由器 ---- 互聯網
在防火牆中使用 NAT 嗎?如果是這樣,則沒有明顯的方法可以直接在 NetFlow 中取得真正的目的地,因為就路由器而言,封包的唯一來源是防火牆中的 NAT 池。也許可以定期從防火牆中提取 NAT 映射,然後對 NetFlow 資料進行後處理,但我懷疑這需要一些自訂編碼並且容易出錯。
簡而言之,不,我認為你運氣不好。
編輯:
如果我們對實際 IP 位址進行一些自由操作: 內部:192.168.0.0/24 NAT 池:172.27.10.3 - 172.27.10.5
讓我們追蹤從內部主機 192.168.0.17 到外部主機 66.102.9.104 的 TCP 封包
Source IP: 192.168.0.17 [ INSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
-------------------
NAT location
-------------------
Source IP: 172.27.10.3 [ OUTSIDE ]
Source port: 16732
Dest IP: 66.102.9.104
Dest port: 80
最終返回資料包到達:
Source IP: 66.102.9.104 [ OUTSIDE ]
Source port: 80
Dest IP: 172.27.10.3
Dest port: 16732
-------------------
NAT location
-------------------
Source IP: 66.102.9.104 [ INSIDE ]
Source port: 80
Dest IP: 192.168.0.17
Dest port: 16732
由於 NAT 發生在防火牆中,路由器只能看到「外部」位址,無法將「內部」IP 與任何給定封包關聯起來。
答案2
我同意之前的回答。我們有 8 個路由器,我監控網路流量,這是我使用的方法。
答案3
自從我玩這個以來已經有一段時間了,但我認為我也遇到了類似的問題。如果沒記錯的話,我必須告訴 IOS 引用來自 LAN 介面而不是 WAN 介面的流量。顯然,這取決於您的拓撲,但我認為以下命令為我解決了這個問題:
ip flow-export source FastEthernet0/0